Wer im Google Chrome-Browser die Erweiterung für den Filesharing Cloud-Dienst Mega einsetzt, hat möglicherweise ein Problem. Die Erweiterung wurde gehackt und zieht die Anmeldedaten ab.
Anzeige
Mega ist ein cloud-basierender Filesharing-Dienst aus Neuseeland, der von Kim Schmitz als Nachfolger von Megauplod gegründet wurde. Mittlerweile ist das Unternehmen Mega Limited aber weitgehend unabhängig von Schmitz.
MEGA-Extension Version 3.39.4 gehackt
Um im Google Chrome-Browser komfortabler auf dieses Filesharing-Dienst zugreifen zu können, gibt es die Erweiterung MEGA. Sicherheitsspezialist SerHack ist kürzlich aufgefallen, dass diese Erweiterung wohl kompromittiert ist. Bösartiger Code entwendete Anmeldedaten und Cryptoschlüssel. Da SerHack am Monero-Projekts mit arbeitet, hat er sofort eine Warnung auf Twitter veröffentlicht, die darauf hin wies, dass die MEGA-Erweiterung in der Version 3.39.4 kompromittiert sei.
!!! WARNING !!!!!!! PLEASE PAY ATTENTION!!
LATEST VERSION OF MEGA CHROME EXTENSION WAS HACKED.
Version: 3.39.4
It catches your username and password from Amazon, GitHub, Google, Microsoft portals!! It could catch #mega #extension #hacked@x0rz pic.twitter.com/TnPalqj1cz
— SerHack (@serhack_) 4. September 2018
Andere Sicherheitsforscher griffen in diesen Tweet ein und teilten die Ergebnisse der Analyse. Ich bin mal die Tweets durchgegangen – die Erweiterung hat wohl alle Anmeldeinformationen für Konten bei Amazon, Microsoft, Github, und Google, denen sie habhaft werden konnte, abgezogen.
Anzeige
Wenn die Informationen, die Bleeping Computer hier veröffentlicht hat, stimmen, sind 1,6 Millionen Nutzer der Erweiterung betroffen. Inzwischen hat MEGA eingestanden, dass deren Chrome Web-Shop-Account gehackt wurde.
Security warning for MEGA Chrome Extension users: v3.39.4 was a malicious update from an unknown attacker. This version would request additional permissions. Anyone who accepted them while it was live for 4 hours may have been compromised and should read https://t.co/tW7EDqKIci
— MEGA (@MEGAprivacy) 5. September 2018
Momentan untersucht man noch, was genau passiert ist. Hier der Text des MEGA-Statements:
On 4 September 2018 at 14:30 UTC, an unknown attacker uploaded a trojaned version of MEGA's Chrome extension, version 3.39.4, to the Google Chrome webstore. Upon installation or autoupdate, it would ask for elevated permissions (Read and change all your data on the websites you visit) that MEGA's real extension does not require and would (if permissions were granted) exfiltrate credentials for sites including amazon.com, live.com, github.com, google.com (for webstore login), myetherwallet.com, mymonero.com, idex.market and HTTP POST requests to other sites, to a server located in Ukraine. Note that mega.nz credentials were not being exfiltrated.
Four hours after the breach occurred, the trojaned extension was updated by MEGA with a clean version (3.39.5), autoupdating affected installations. Google removed the extension from the Chrome webstore five hours after the breach.
Die Betreiber der Site behaupten, dass die kompromittierte Extension nur 4 Stunden im Chrome Extension Store online gestanden habe. Danach wurde die saubere Version 3.39.5 hochgeladen. Google hat die Erweiterung nach Bekanntwerden des Hacks aus dem Store entfernt. Aktuell kann ich keine Erweiterung mehr von MEGA finden (was dort angeboten wird, stammt von anderen Entwicklern).
Betroffen? Was sollte man tun?
Normalerweise sollte die Mega-Extension Version 3.39.5 per Auto-Update im Google Chrome installiert worden sein. Wer die Mega-Extension Version 3.39.4 im Google Chrome vorfindet, sollte diese Erweiterung sofort deinstallieren. Im Anschluss sollten alle Anmeldeinformationen für Online-Konten (Mail, Cloud, Bank etc.) geändert werden.
Mega-Extension Version 3.39.3 sauber
Laut der Chrome-Erweiterungs-Archivseite crx.dam.io wurde die vorherige Version 3.39.3, die am 02. September 2018 erschien, archiviert. Eine Analyse zeigte, dass diese Version den bösartigen Code nicht beinhaltete. Der Hack der Chrome-Erweiterung MEGA muss also nach dem 2. September 2018 passiert sein.
Für den Firefox gibt es eine solche Erweiterung ebenfalls. Die Sicherheitsforscher haben diese Firefox-Version des MEGA-Addons untersucht und sind zu dem Schluss gekommen, dass diese sauber ist.
Anzeige
